| 论文名称 | 发表时间 | 发表期刊 | 期刊等级 | 研究单位 |
| Static Multi Feature-Based Malware Detection Using Multi SPP-net in Smart IoT Environments | 2024年 | IEEE TIFS | CCF A | 东国大学 |
1. 引言
研究背景:由于硬件规格和电源有限,提供用户定制数据的物联网设备通常不具备固有的安全功能。 此外,智能物联网环境连接到智能手机和笔记本电脑等存储有关个人和公司敏感信息的设备。 因此,物联网设备成为网络攻击者的主要目标,并面临各种安全威胁,例如被用作僵尸网络、个人信息泄露、机密信息被窃取等。
现存问题:恶意软件检测研究主要使用静态分析和动态分析来了解恶意软件的特征和行为。基于静态分析的恶意软件检测研究根据代码分析文件的整体结构,以实现恶意软件的有效检测。然而,优于无法分析行为数据流,因此很难检测代码中隐藏行为或修改行为信息的变种恶意软件。基于动态分析的恶意软件检测研究可以通过在受限环境中执行文件并实时监控其行为来检测未知恶意软件,以识别静态分析难以识别的行为特征。然而,行为分析需要的时间比静态分析常,并且存在测试环境被恶意软件感染的风险。
为了提高恶意软件检测模型的性能,研究人员使用 n-gram、graph、vision 等技术重建从静态和动态特征中提取的特征。基于 n-gram 的特征提取技术通过将给定序列重构为 n 个连续单词来探索小范围的行为模式(难以捕获长距离行为模式,维数爆炸)。基于 graph 的特征提取技术通过将特征表示为节点并将特征之间的关系表示为边来表示数据的流动和结构(特征提取过程十分复杂)。基于 vision 的特征提取技术将提取的特征转化为二维或三维图像,以直观地捕获恶意软件的复杂模式和特征。
现有的基于 vision 特征提取技术主要通过将二进制数据转换为图像来检测恶意软件。然而,通过将随机数据插入字节数据或修改标头信息来隐藏恶意行为的变种恶意软件很难被检测到。即使使用汇编代码,也很难确定样本是否为恶意,因为可以通过添加不必要的指令或更改指令顺序来改变汇编代码的签名。此外,恶意软件的某些变体会修改汇编代码和字节数据以逃避恶意软件检测。仅使用单一特征的恶意软件检测技术在准确捕获和检测恶意软件的恶意行为方面受到限制。
研究内容:论文提出一种静态安全服务恶意软件检测(Mal3S)方案,通过使用字
最低0.47元/天 解锁文章
1166
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
